八种无密码身份验证方式

无密码身份验证在未来几年可能将变得更为普遍。我们不妨来看看目前的发展状况。

过去几个月里，微软和谷歌一直在积极推动无密码身份验证。因为在iPhone上首推指纹身份验证，苹果已成无密码身份验证主要玩家。大多数PC和Mac笔记本电脑如今都提供 Touch ID，所以一到两年之内这些东西也可以用于无密码身份验证。

业内普遍认为密码已经过时，且是数据泄露的主要原因之一。威瑞森《2019数据泄露调查报告》显示，超过80%的数据泄露都利用了被盗密码或弱密码。所以，业界一直在推动 FIDO ( Fast Identity Online：线上快速身份验证)之类开放标准，以期帮助安全团队和开发人员更便利地部署无密码身份验证。

另外，专注无密码身份验证的Gartner分析师 Ant Allan 预测，到2022年，60%的大型跨国企业和90%的中型企业都将在超过50%的应用场景中实现无密码身份验证方法——2018年无密码身份验证的用例仅为5%。

可以肯定的是，供应商已经注意到这一趋势。我们可以从以下8个主流无密码身份验证方法窥见向前发展所需的工作。

1. 微软

微软身份部门项目管理副总裁 Alex Simons 表示，从密码整体迁移到健壮易用的身份验证方式非常重要。

Windows Hello 是微软密码终结工作的第一部分。Windows Hello 允许用户采用生物识别特征或PIN码解锁PC和访问应用程序及自身云资源。微软无密码策略的第二部分是Authenticator应用，可使任意平台 (Mac、Chromebook、安卓、iOS) 用户在自身智能手机上使用App无密码登录账户。最后，微软支持FIDO2，参与行业协作以交付健壮易用的跨平台无密码身份验证。

简单讲，FIDO2由2个标准组成：WebAuthn 和 CTAP( Client to Authenticator Protocol：身份验证器协议客户端)。WebAuthn作为基于浏览器的API允许Web应用以公钥加密而非密码验证用户。WebAuthn支持内置身份验证器，比如微软 Windows Hello，或者远程身份验证器，比如手机或FIDO安全密钥。CTAP允许远程身份验证器与Web浏览器“对话”。FIDO联盟首席市场官 Andrew Shikiar 表示，FIDO2提供能在任何设备和网站上运行的开放标准。

微软是用FIDO2开放标准支持无密码身份验证的首批财富500强公司之一。

2. 谷歌

谷歌账户安全集团产品经理 Guemmy Kim 称，谷歌非常重视双因子身份验证(2FA)实现，账户安全不完全依赖密码。他认为，网络钓鱼已经成为安全事件最常见原因之一，保护在线账户访问权，对隐私、金融和其他敏感在线数据的安全防护至关重要。

2FA和基于FIDO标准的无密码身份验证，有助于为用户提供更安全、更便利的安全体验。谷歌在最近发布的声明中表示，将在安卓7+手机中内置安全密钥。

“让安全更具可用性的方法之一，就是产品全线支持行业标准。这样一来，随着用户经由所用各种服务对标准越来越熟悉，他们也就能够享受更高水平的安全所带来的好处。FIDO2标准协议的建立，使业界能够协同解决网络钓鱼所造成的安全影响。谷歌的下一步目标是在谷歌登录中启用FIDO2/WebAuthn。

3. HYPR

HYPR创始人兼首席执行官 George Avetisov 最近一直忙于自己的一个小目标：他想让人们明白 “共享密钥” 式密码须被用户设备持有私钥的系统所替代——私钥可通过指纹或人脸识别进行验证。

“我们希望终结共享密钥。部署HYPR后，安全团队就能赋予用户身份验证方式的选择权了。

没人喜欢被强迫。澳大利亚的研究表明人们不喜欢人眼识别，而欧洲和美国人对人眼识别接受度更高。HYPR的客户Mastercard就为其用户提供了指纹、人脸识别和PIN码三种身份验证方式供选择。

4. SecureAuth

SecureAuth帮助客户从靠密码进行验证的遗留系统迁移到无密码身份验证的系统上。该公司首席安全架构师 Stephen Cox 称，公司企业在迈向无密码身份验证的道路上步履蹒跚，因为他们存在依赖密码的遗留应用，有些应用甚至已经部署了几十年。

“我们可以在遗留应用前端创建一个 ‘外表面’，让用户能够通过指纹进行验证，实现身份验证方式的迁移。我们还在后端做基于风险的身份验证以保证用户是合法的。

5. Duo Security

Duo Security 集团产品经理 Steve Won 称，有三大基石推动着无密码身份验证向前发展。首先是苹果S系列芯片——防窜改，且能保护并管理数字密钥。接下来是生物特征识别身份验证技术，以苹果和安卓产品引领的指纹和人脸识别形式呈现。最后是开放标准，比如FIDO2里包含的WebAuthn和CTAP——使 Duo Security 这样的公司企业能够为用户提供有别于传统密码的生物特征识别身份验证方式。

“基本上，WebAuthn允许非对称加密，私钥不会离开用户的设备，密钥不会共享。